O Google corrigiu nesta semana um total de oito falhas de segurança no Chrome, sendo quatro delas consideradas de alta severidade. A atualização já está disponível para todos os usuários no Windows, Mac e Linux; enquanto não existem indícios de que as brechas estão sendo usadas por criminosos em ataques, a recomendação é de atualização urgente para todos os utilizadores.
No caso das vulnerabilidades mais graves, são acessados componentes do browser como Mojo IPC, Aura, Blink Media e Blink Frames, relacionados à reprodução de mídia e sistemas de comunicação, entre outras tarefas. Rastreadas a partir da CVE-2022-4436, as brechas permitem a execução de códigos remotamente, seja através de sites maliciosos ou elementos de interface criados de maneira a possibilitar as explorações.
Tratam-se de vulnerabilidades relacionadas ao uso de espaços da memória após a liberação pelo browser; esse processo é feito sem que o software desative os apontadores para aquele local, o que permitiria a implantação de códigos maliciosos. Entre os ataques possíveis estão desde travamentos e corrupção de dados até a obtenção de informações ou a ultrapassagem dos limites definidos, possibilitando mais acesso ao conteúdo da máquina comprometida.
Elas são acompanhadas de uma quinta brecha também relacionada à memória do navegador, considerada de média gravidade e rastreada como CVE-2022-4440. Elas foram identificadas e reportadas ao Google por pesquisadores em segurança independentes, a partir do programa de bug bounty da empresa, o que rendeu US$ 17,5 mil (cerca de R$ 92,3 mil) em pagamentos.
O update deve ser baixado automaticamente nos computadores dos usuários, levando o Chrome à versão 108.0.5359.124/.125 e 108.0.5359.124 no Mac e Linux. Caso a atualização não seja instalada de forma expressa na próxima reinicialização, basta acessar o menu de configurações do navegador, na opção Ajuda e clicar em Sobre o Google Chrome para forçar o download.
Fonte – Google
Foto – Divulgação
